Un défaut de Microsoft Authenticator écrase des comptes MFA et verrouille des utilisateurs

 (csoonline.com)
2 points par GN⁺ 2024-08-18 | 1 commentaires | Partager sur WhatsApp

Problème de Microsoft Authenticator

  • Microsoft Authenticator présente un problème qui écrase un compte existant lors de l’ajout d’un nouveau compte via un code QR
  • En conséquence, les utilisateurs peuvent perdre l’accès à leur compte, ce qui entraîne une gêne importante
  • La cause du problème est que Microsoft Authenticator identifie les comptes en utilisant uniquement le nom d’utilisateur
  • D’autres applications comme Google Authenticator évitent ce problème en ajoutant aussi le nom de l’émetteur

Gravité du problème

  • Microsoft Authenticator écrase les comptes ayant le même nom d’utilisateur, ce qui arrive souvent lorsque l’adresse e-mail sert de nom d’utilisateur
  • Lorsqu’un écrasement se produit, il est difficile de savoir quel compte a été remplacé
  • Les utilisateurs ne découvrent généralement le problème qu’au moment où ils essaient d’utiliser le compte plus tard

Solutions possibles

  • La solution la plus simple consiste à utiliser une autre application d’authentification
  • Il est aussi possible de saisir le code manuellement au lieu de scanner le code QR
  • Ce problème existe depuis la sortie de Microsoft Authenticator en 2016

Plaintes des utilisateurs

  • Des plaintes à ce sujet ont été formulées depuis 2020, mais Microsoft n’a pas corrigé le problème
  • La saisie manuelle des informations est inefficace dans les environnements d’entreprise

Le cas de Brett Randall

  • Brett Randall, consultant IT australien, a récemment publié ce problème sur LinkedIn
  • Il a expliqué que lors du scan d’un code QR, Microsoft Authenticator écrase des clés TOTP d’autres applications
  • Les autres applications d’authentification créent un identifiant unique en combinant l’émetteur et le libellé, tandis que Microsoft n’utilise que le libellé

Avis d’experts

  • Plusieurs experts en sécurité et en IT ont pu reproduire le problème
  • Tim Erlin, vice-président produit chez Wallarm, a indiqué que ce problème verrouille les utilisateurs et qu’il s’agit d’un défaut de conception
  • David Meltzer, chief product officer chez Netography, a lui-même rencontré ce problème et le considère comme un bug

Position de Microsoft

  • Microsoft considère ce problème comme un fonctionnement normal et en rejette la faute sur l’utilisateur ou l’émetteur
  • Microsoft affirme afficher un message demandant à l’utilisateur s’il souhaite écraser la configuration du compte
  • Cependant, ce message incite en pratique l’utilisateur à poursuivre l’écrasement

Proposition de solution

  • Brett Randall suggère soit d’auditer les otpauth de toutes les applications, soit que Microsoft corrige le problème
  • Après avoir testé 14 applications d’authentification différentes, seule Microsoft Authenticator présentait ce problème

Récapitulatif de GN⁺

  • Microsoft Authenticator peut écraser un compte existant lors de l’ajout d’un nouveau compte
  • Ce problème provoque d’importants désagréments pour les utilisateurs et les entreprises, alors que d’autres applications d’authentification l’évitent
  • Microsoft ne corrige pas le problème et en rejette la responsabilité sur l’utilisateur ou l’émetteur
  • Pour éviter ce problème, il est recommandé d’utiliser une autre application d’authentification

À lire aussi

1 commentaires

 
GN⁺ 2024-08-18
Avis Hacker News

  • La raison de choisir Microsoft Authenticator, c’est que Microsoft en impose l’usage

    • Il empêche d’utiliser d’autres applications OTP et ne fournit pas aux administrateurs d’outil pour désactiver cela
    • Le code QR n’est pas un TOTP standard, donc d’autres clients le refusent
    • On ne peut obtenir le vrai code QR TOTP qu’en passant par le lien « utiliser une autre application »

  • Les problèmes de sécurité et d’ergonomie sont majeurs

    • Les utilisateurs subissent de nombreux désagréments, comme la fréquence de changement des mots de passe, des règles de complexité strictes et des exigences non documentées
    • Des fuites de données se produisent fréquemment à cause des vulnérabilités des systèmes de sécurité eux-mêmes

  • L’e-mail reçu de Microsoft ressemblait à du phishing

    • Un e-mail demandait d’activer la MFA, alors que la personne ne gère en réalité aucune organisation liée à Microsoft
    • L’e-mail ne contenait ni nom ni organisation, seulement un UUID

  • Interrogations sur le fait que Microsoft Authenticator enregistre les entrées sur la base des libellés

    • Il ne génère pas de clé interne, ce qui pose problème si le site web ne renseigne pas d’information dans le champ émetteur
    • Cela fait se demander si Microsoft utilise réellement Authenticator en interne

  • Expérience de perte d’accès à un compte GitHub à cause d’un bug de Safari

    • Safari avait un bug qui écrasait les mots de passe sans avertissement
    • Il a été corrigé depuis, mais il existe encore un bug l’empêchant de distinguer les sous-domaines

  • Problème d’accès à un compte Google

    • Après avoir changé de pays et d’ordinateur, il n’était plus possible d’accéder au compte Google
    • Même en utilisant l’adresse e-mail de récupération, le problème n’a pas pu être résolu
    • Il est contraignant de devoir mémoriser l’adresse e-mail de récupération comme un mot de passe

  • Critique du choix des services de Microsoft

    • Microsoft fait porter la responsabilité aux utilisateurs et aux clients
    • L’écosystème Windows devient complexe et difficile à utiliser
    • De nouvelles fonctionnalités sont ajoutées à MS Teams, mais les problèmes existants ne sont pas résolus

  • Il est possible d’utiliser plusieurs comptes avec le même nom d’utilisateur

    • Cela peut être un défaut de conception, mais le même nom d’utilisateur peut être utilisé sur différents sites

  • La création d’un compte Hotmail n’est pas adaptée aux personnes malvoyantes

  • Problème de suivi de localisation par Microsoft Authenticator

    • Le suivi de localisation est perçu comme un problème plus grave